金盾CIS5解决方案模版文档格式.doc
《金盾CIS5解决方案模版文档格式.doc》由会员分享,可在线阅读,更多相关《金盾CIS5解决方案模版文档格式.doc(95页珍藏版)》请在冰点文库上搜索。
4.5.4. 全面满足集团化应用和多组织架构管理 29
4.5.5. 软件应用架构科学,支持分散部署,集中管理 29
4.5.6. 跨VLAN,支持多网段,域控制器(AD模式),VPN 29
4.5.7. 全面兼容近20种杀毒软件,穿透各大软件防火墙 30
4.5.8. 客户端升级便捷迅速,全网自动升级 31
4.5.9. 客户端占用资源少,全面支持VISTA操作系统 31
4.5.10. 网管与加密统一集成管控平台,统一终端安全管理 32
4.5.11. 软件简单易用,GUI设计,全导航图可视界面 32
4.5.12. 九大模块,500多项主要功能,全内网安全管理 33
4.5.13. 掌控网络终端,规范网络行为,实时监控PC运行 33
4.5.14. IT资产尽在掌握,维修保养全程记录 34
4.5.15. 联动杀毒软件,杜绝病毒网内肆虐 36
4.5.16. 同步windows补丁升级,集成WSUS补丁服务器 36
4.5.17. 实时流量监控,带宽分配,入侵监测实时报警并阻断 37
4.5.18. 实用的网络工具,极大减轻网管的运维压力 38
4.5.19. 领先业界的强制透明加密技术,提供身份认证 39
4.5.20. 自定义加密图档格式,支持任意图档格式加密 40
4.5.21. 独家采用金盾指纹识别设备保护脱网图档安全 41
4.5.22. 独家采用硬盘数据全加密和灾难图档自恢复技术 42
4.5.23. 八大实时报警信息,四大报警处理选择 43
4.5.24. 强大的图文报表管理功能,提供灵活的解密工作流 44
4.5.25. 国内近3000家用户的信心保障,近20家客服中心提供本地化服务 45
5. 金盾CIS5产品解决方案 46
5.1. 金盾CIS5主要功能列表 46
5.2. 金盾CIS5主要模块介绍 50
5.2.1. 总体流程 50
5.2.2. 网络安全管理 51
5.2.3. 网络行为管理 53
5.2.4. 加密解密管理 55
5.2.5. 网络维护管理 56
5.2.6. Windows补丁管理(集成微软WSUS) 57
5.2.7. IT资产与维修管理 58
5.2.8. 网络通信管理 60
5.2.9. 网络工具管理 61
5.2.10. 实时报警管理 62
5.2.11. 系统配置 64
5.2.12. 系统维护 65
5.3. 金盾CIS5运行环境 66
5.4. 金盾CIS5支持的常见加密图档格式 68
6. 项目实施与培训 71
6.1. 项目实施总体思路 71
6.2. 项目实施步骤 72
6.2.1. 项目准备阶段 72
6.2.2. 项目实施阶段 73
6.2.3. 项目验收阶段 74
6.3. 项目实施资源保障 76
6.4. 项目实施计划 81
6.4.1. 项目实施进度 81
6.4.2. 项目培训计划 81
7. 售后服务计划 83
7.1. 服务理念 83
7.2. 服务方案 84
7.2.1. 售前服务 84
7.2.2. 售后服务 84
7.2.3. 日常服务 88
4.3.5其他服务 89
4.3.6服务保障 89
7.3. 服务收费说明 90
8. 金盾CIS5部分典型客户 91
9. 项目预算 93
10. 关于华软公司 95
1.内网安全面临的挑战
随着计算机网络技术、Internet、Intranet和数字通信技术飞速发展,信息网络技术的应用层次不断深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,如电子政务、电子商务、CIMS、知识管理、电子金融、社会保障、GIS系统等。
大量的技术和业务机密存储在计算机和网络中,对网络安全性要求变得越来越高,需要有效地制定安全策略以保护机密数据信息。
通常的安全策略的一个基本假设是:
网络的一边即外部的所有人是不可信任的,另一边即内部的所有人是可信任的。
通常认为黑客、病毒以及各种蠕虫的攻击大都来自外部的侵袭。
但是,根据美国FBI的统计,各种计算机网络、存储数据遭受的攻击和破坏,80%是内部人员所为。
来自内部的数据失窃和破坏,远远高于外部黑客的攻击。
企业内部竞争性情报信息是企业无形资产管理的重要部分。
俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
传统的安全解决方案比如防火墙、入侵检测、防病毒在网络安全中起到非常重要的作用。
由于现在网络边界的概念逐渐模糊,通过VPN、无线上网、远程拨号等方式连接到内部网络变得非常普遍,内网上各种信息滥用、误用、恶用行为增加,严重影响内网安全。
对于以上安全问题,传统安全技术显得力不从心。
企业内部竞争性情报类型主要有:
¨
企业的机密技术文件、产品研发资料
设计图稿
会计账目、财务报表资
战略计划书
外购竞标信息和供应链合作伙伴信息
重要研究成果
研究论文
市场营销策划资料
其他:
如董事会、投融资等方面管理类资料,客户资料
据IDC统计,80%以上的安全威胁来自于内部,企业内网所面临的安全隐患主要表现在如下几个方面:
1.补丁升级与病毒库更新不及时、蠕虫病毒利用漏洞传播危害大
由于网络内的各种平台的主机和设备存在安全漏洞但没有及时打上最新的安全补丁,或者主机和设备的软件配置存在隐患,杀毒软件的病毒特征库更新滞后于新病毒的出现或者未及时得到更新,给恶意的入侵者提供了可乘之机,使病毒和蠕虫的泛滥成为可能。
大规模的蠕虫爆发可能导致企业内网全部陷于瘫痪,业务无法正常进行。
2.非法外联难以控制、内部重要机密信息泄露频繁发生
员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式绕过防火墙的监控直接连接外网,向外部敞开了大门,使得企业内网的IT资源暴露在外部攻击者面前,攻击者或病毒可以通过拨号线路进入企业内网;
另一方面,内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去,给企业带来经济损失但又不易取证。
3.移动电脑设备随意接入、网络边界安全形同虚设
员工或临时的外来人员所使用的笔记本电脑、掌上电脑等移动设备由于经常接入各种网络环境使用,如果管理不善,很有可能携带有病毒或木马,一旦未经审查就接入企业内网,可能对内网安全构成巨大的威胁。
4.攻击方法日新月异,内部安全难以防范
已经被攻破的内网主机中可能被植入木马或者其它恶意的程序,成为攻击者手中所控制的所谓“肉鸡”,攻击者可能以此作为跳板进一步攻击内网其它机器,窃取商业机密,或者将其作为DDOS工具向外发送大量的攻击包,占用大量网络带宽。
员工浏览嵌有木马或病毒的网页、收看带有恶意代码的邮件,都可能给攻击者带来可乘之机。
5.软硬件资产滥用、资产安全无法保障,网络故障频发
内网资产(CPU、内存、硬盘等)被随意更换,缺乏有效的技术跟踪手段;
员工可以随时更改自己所使用的机器的IP地址等配置,不仅难于统一管理,而且一旦出现攻击行为或者安全事故,责任定位非常困难。
软、硬件数量无法精确掌握,盘点困难;
计算机数量越来越多,无法集中管理;
员工私装软件,造成非法版权使用威胁和机器效率低下;
故障频发,网管人员疲于应付等
6.网络应用缺乏监控,网络滥用严重
上网聊天、网络游戏等行为严重影响工作效率,利用QQ,MSN,ICQ这类即时通讯工具来传播病毒,已经成为新病毒的流行趋势;
使用Bitorren、电驴等工具疯狂下载电影、游戏、软件等大型文件,听歌、看网络电影,玩网络游戏、浏览工作无关的网站、聊天等等。
7.缺乏外设管理手段,数据泄密、病毒传播无法控制
外设是数据交换的一个最要途径,包括U盘、光驱、打印、红外、串口、并口等;
由于使用的方便性,近几年成为数据泄密、病毒感染的出入口。
通过封贴端口、制度要求等方式无法灵活对外设进行管理,特别是对USB接口的管理,所以必须通过其它技术手段解决存在的问题。
8.内部竞争情报和具有知识产权图档泄露严重
大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,达到了较好的效果。
但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的难度,这部分的资产极易于受到损害,此类案例举不胜举。
主要分为:
员工或外来人员将电脑带入单位局域网,他可以进入单位共享文档服务器、员工电脑窃取机密文件;
进入这些终端电脑的信息可以通过存储设备和通讯设备进行外泄,比如:
USB存储;
通过MAIL、FTP、BBS等途径将单位内部信息泄密到外网。
安全漏洞分析:
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况五类。
q明文保存
目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。
如果不加密,则进行再多的防范都是不可靠的,同样会泄密。
现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
泄密的方式
对明文情报的危害
黑客侵入
不法分子通过各种途径获取商业机密。
如侵入内部网络,电子邮件截获等;
防不胜防,特别终端由个人掌控。
互联网泄密
通过E-Mail,FTP,BBS等方式传递情报;
内部局域网泄密
自带笔记本电脑接入网络,从而拷贝数据;
移动终端泄密
将工作用笔记本电脑带到外界,通过笔记本电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
固定终端泄密
通过台式电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
q粗放的权限控制
在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以下分类:
编号
权限
控制
危害
1
根据公司保密制度传递情报
有
情报交给对方就完全控制不了他如何使用,包括是否交给非涉密的第三方;
2
打印,打印次数
无
接受方可不受限制的打印情报;
3
保存和另存
接受方可保留情报的副本;
4
复制和拷贝
接受方可保留情报的副本或某部分;
5
屏幕拷贝
接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容;
6
阅览次数
接受方可无限次的读取情报;
7
控制阅读的条件——指定机器、指定USB锁、指定IP区域
对于绝密情报,不能控制接受方阅读地点——有可能他正在和竞争对手一起观看
只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
q拥有时间无期限
拥有时间无期限指的是资料递交给授权方后,授权方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:
1)当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用;
2)与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目;
q不可靠的身份认证机制
身份认证是指计算机及网络系统确认操作者身份的过程。
计算机和计算机网络组成了一个虚拟的数字世界。
在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。
在网络环境中,辨认网络另一端的身份就是一个复杂的问题,我们从以下场景来看看身份认证的重要性。
场景一:
不法分子打开我的电脑,将我的《XX图纸》拿走了,而我茫然不知;
场景二:
我已经将电脑里面的目录设为共享,别人很容易就拷贝走了我的资料;
场景三:
我传递了一份资料给分公司的同事,而此时这位同事恰巧离开位置,其他人看得到这份资料。
身份认证有三个层次:
一种为证明你知道什么——即现在广泛的用户名/密码方式;
其二为证明你拥有什么——即给你一个独一无二的设备,如印章,每次需要出示才能确定你的身份;
最后一种为证明你是什么——即通过生物技术,如金盾指纹设备、面貌等确定。
目前,身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。
1)用户名/密码方式:
简单易行,保护非关键性的系统,通常用容易被猜测的字符串作为密码,容易造成密码泄漏;
由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
是极不安全的身份认证方式;
2)IC卡认证:
简单易行,很容易被内存扫描或网络监听等黑客技术窃取;
3)动态口令:
一次一密,安全性较高,但使用烦琐,有可能造成新安全漏洞;
4)USB-KEY生物特征认证:
安全可靠,成本低廉但依赖硬件的安全性。
q使用追踪
如果出现了泄密事故,那么我们关心的就是损失有多大,有哪些人参与,由于哪些操作导致泄密,需要追查事故责任人。
而现在,由于没有采用有效的手段,只能通过人工方式调查取证,使得追查周期过长,损失加大,追查到真相的几率极低。
我们也不知道哪些人关注过哪些信息,某些信息被哪些人关注过,不能及时查出泄密的渠道,不能在第一时间估算出泄密所带来的损失。
9.管理制度缺乏依据,无法取证,安全策略无法有效落实
尽管安全管理制度早已制定,但只能依靠工作人员的工作责任心,无法有效地杜绝问题;
通过原始方式:
贴封条、定期检查等相对松散的管理机制,没有有效灵活实时的手段保障,即使出现问题,也不能提供取证依据,部分非法人员逃避公司制度约束,逍遥规章之外。
2.重汽集团需求分析
2.1.重汽集团简介
中国重型汽车集团有限公司(以下简称中国重汽集团)总部坐落于山东省济南市,是国内主要的重型载重汽车生产基地,也是我国重型汽车工业的摇篮,以开发和制造中国第一辆重型汽车(黄河JN150)、成功引进斯太尔重型汽车生产项目和与沃尔沃合资生产具有当代国际水平的重型汽车而闻名。
中国重汽集团前身是原济南汽车制造总厂。
原济南汽车制造总厂始建于1935年,主要生产汽车零部件。
该厂于1956年开始自主研发设计制造汽车,步入汽车制造企业。
1960年4月试制出了中国第一辆重型汽车-黄河牌JN150型8吨重型汽车,结束了中国不能生产重型汽车的历史。
同年5月4日,毛泽东主席到济南视察时,参观了这辆样车,朱德元帅亲笔题写"
黄河"
。
几十年来,共生产重型汽车数十万辆,为国民经济的发展和国防建设做出了重大贡献。
中国重汽集团目前在济南地区设有卡车公司、商用车公司、动力有限公司、桥箱有限公司、特种车有限公司、客车公司、华沃卡车合资股份有限公司,主要担负整车生产装配和发动机、车桥、变速箱、钢圈、传动轴、汽车内饰、座椅等总成零部件的生产加工,以及大客车、特种车的生产制造任务。
在山东地区的青岛专用车公司、泰安五岳公司、济宁改装车公司、济南园林机械厂等担负着专用车、改装车的生产。
省外企业包括动力有限公司杭州汽车发动机厂、重庆油泵油咀厂等。
设在济南总部的技术发展中心作为国家级的企业技术中心,为中国重汽集团的产品、开发、研制提供有力的技术保障。
此外,中国重汽集团还设有房地产、进出口、香港公司、财务公司、鑫海担保有限公司、物业管理等经营性二级公司。
2001年1月18日,中国重汽集团经过改革重组,对企业进行了再造,重新构架了企业运营机制,焕发了企业活力。
中国重汽集团的战略发展目标是:
积极实施国际化战略、技术领先战略、区域化战略和高质量低成本战略,逐步实现产品、市场、资本、机制和品牌的国际化,争取成为世界重卡三强。
一是努力建设具有国际先进水平的重卡研发体系,不断吸收消化国际先进技术,保持技术领先地位;
二是积极开拓国际市场,建立完善的国际市场营销体系,确保到2010年企业三分之一的产品进入国际市场;
三是实施国际资本的多元化,充分利用和吸收国际资本,拓展海外发展空间,尽快发展成为具备竞争力的国际性公司,跻身全球三大重卡生产企业行列;
四是积极推行品牌战略,全力打造民族汽车品牌,力争到2010年把“中国重汽”建成国际知名汽车品牌,并向世界500强的目标迈进。
2.2.重汽集团内网安全现状整体需求分析
2.2.1.现代企业管理方式的变革及带来的问题
互联网时代,世界每天都在发生变化。
对于企业来说,企业现有的管理体制也在逐渐吸取新的管理方式,采取新的手段来适应时代的发展,重汽集团有很多个分公司,分公司之间、分公司与总公司之间的沟通与交流越来越密切,除了传统的电话、传真、邮件之外,电子邮件也逐渐成为了一种主要的交流工具。
但是,在传统的企业管理方式中,并没有一种好的工具来提高企业的管理水平,例如:
传统企业的金字塔式的管理体制使不同部门之间的员工几乎无法交流,而处于金字塔顶端的公司领导层也很难了解普通员工的行为,特别是随着企业规模的扩大,总经理通常只能接收到身边人的信息,而这些信息又是不尽相同,信息量越来越大,企业的领导层如何在这些纷杂的信息中发掘对自己有用的内容,是很多领导人头痛的问题。
2.2.2.管理的透明化与扁平化
阶梯式的管理结构是一种传统的管理模式,这样处于金字塔顶端的高管通常只能接收到处于中层经理的反馈,而无法根据普通员工的表现对中层干部的工作进行评价。
而对于处于底层普通员工的接触就很少,他们很少能够进行越级的信息反馈。
并且这也是传统管理模式中的诟病。
2.2.3.企业信息管理的可控性
互联网给企业带来的好处简直太多了。
然而开放的网络中充斥着各种与业务无关的信息,色情、暴力、反动等不健康内容随处可见,这些内容常常不请自来,通过邮件,BBS等,简直到了无孔不入的地步。
有的员工视单位电脑如免费网吧,浏览不相干的网站、下载游戏、QQ聊天、收发个人E-MAIL、看电影,甚至逐渐演变成为打发上班时间的主要活动。
但是,企业的工作效率因而大大降低,不少企业管理者为此忧心忡忡。
2004年美国财富杂志称:
“没有控制的互联网是办公室里资源浪费最多的设置之一。
”
2.2.4.企业信息的保密
随着现在企业与人才之间双向选择的推广,在企业规模的不断扩大的过程中,企业会经历不只一次的大的人事变动,以及数量频繁的小的人事流动,而在人员流动的过程中难免出现信息的泄露,比如:
销售人员带走你的客户资源等,也不可能保证每个员工对你的都是忠诚的,通过公司的网络,公司的e-mail发走公司的机密信息,U盘软盘拷贝走公司的秘密资料,用公司的打印机打印敏感的文件,显而易见这会给公司造成很大的损失。
2.2.5.信息资源的集中化管理
随着企业规模的不断扩大,公司的人员不断增加,公司的信息网络方面的办公器材也不断增多,以往的管理方式是公司的设备职能部门,一个或者几个人对这些器材进行管理,记录.但是人员和设备增多的时候,我们的管理人员缺乏,记录就会出现偏差,那么就需要相应的增加人手,这样我们又增加了人员成本.这就是一些大型企业每年都有大量资产流失的原因之一.怎样解决又是摆在管理者面前的一个问题。
2.2.6.管理的可靠性和安全性
现今网络里的病毒,木马和各种攻击,入侵方式多的不计其数,它们对网络造成了极大的损失,特别是对我们这些现代化企业危害更为明显,只要我们的网络被病毒或者攻击等方式导致瘫痪,在信息化高度应用的今天,企业也会陷入瘫痪。
.现在对于安全的考虑大多是事后解决,防火墙只能执行事先设定好的规则,而IDS的误报率很高,杀毒也只能是在病毒出现后给出解决,怎么样找出一个综合的解决方案。
对于企业来讲,必须面对或希望解决这些的安全和管理问题,这也造成了企业对这方面产品的需求。
2.3.重汽集团网络安全需求分析
目前企业内部网络可能所受到的攻击包括黑客入侵,内部信息泄漏,不良信息的进入内网等方式。
因此采取的网络安全措施应一方面要保证业务与办公系统和网络的稳定运行,另一方面要保护运行在内部网上的敏感数据与信息的安全,归结起来,应充分保证以下几点:
q网络可用性:
网络是业务系统的载体,安全隔离系统必须保证内部网络的持续有效的运行,防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性;
q业务系统的可用性:
运行内部专网的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;
q数据机密性:
对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。
网络安全系统应保证内网机密信息在存储与传输时的保密性。
q访问的可控性:
对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。
q网络操作的可管理性:
对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。
2.4.重汽集团网络行为需求分析
全球知名的企业管理软件方案供应商Websense公司近日在其全球网络安全调查中国区新闻发布会上公布了2005中国区和亚太区的调查结果。
这是该调查首次把中国内地纳入其调查对象之中。
调查显示,中国、澳洲、巴西、智利、印度、墨西哥等最新全球8个地区的调查中,虽然有83%受访员工在办公时间内浏览与工作无关的网站,中国员工比其它地区的员工每周多花7.6小时的时间来使用即时信息、玩游戏、P2P或流动媒体。
同时调查发现,国内员工每周
升级会员 